Что такое система предотвращения вторжений?

Система предотвращения вторжений (IPS) отслеживает пакеты данных в сети на предмет подозрительной активности и пытается предпринять действия с использованием определенных политик. Она действует как система обнаружения вторжений, включающая межсетевой экран для предотвращения атак. Она отправляет предупреждение сетевому или системному администратору при обнаружении чего-либо подозрительного, позволяя администратору выбрать действие, которое необходимо предпринять в случае возникновения какого либо события. Системы предотвращения вторжений могут контролировать всю сеть, протоколы беспроводной сети, поведение сети и трафик одного компьютера. Каждая IPS для анализа рисков использует определенные методы обнаружения.
В зависимости от модели IPS и её функций, система предотвращения вторжений может обнаруживать различные нарушения безопасности. Некоторые могут обнаружить распространение вредоносных программ по сети, копирование больших файлов между двумя системами и использование подозрительных действий, таких как сканирование портов. После того, как IPS сравнивает проблему с правилами безопасности, она регистрирует каждое событие и документирует частоту этого события. Если сетевой администратор настроил IPS для выполнения определенного действия на основе инцидента, система предотвращения вторжений затем выполняет назначенное действие. Базовое предупреждение отправляется администратору, чтобы он или она могли ответить соответствующим образом или просмотреть дополнительную информацию о IPS, если это необходимо.

Существует четыре основных типа систем предотвращения вторжений, включая сетевые, беспроводные, анализ поведения сети и хост-системы. Сетевой IPS анализирует различные сетевые протоколы и обычно используется на серверах удаленного доступа, серверах виртуальной частной сети и маршрутизаторах. Беспроводная IPS отслеживает подозрительные действия в беспроводных сетях, а также ищет несанкционированные беспроводные сети в регионе. Анализ поведения сети ищет угрозы, которые могут уничтожить сеть или распространять вредоносное ПО, и обычно используется в частных сетях, подключенных к Интернету. IPS на основе хоста работает в одной системе и ищет странные процессы приложений, необычный сетевой трафик идущий к хосту, изменения файловой системы и изменения конфигурации.

Существует три метода обнаружения, которые может использовать система предотвращения вторжений, и многие системы используют комбинацию всех трёх. Обнаружение на основе подписи хорошо работает для обнаружения известных угроз, сравнивая событие с уже задокументированной подписью, чтобы определить, произошло ли нарушение безопасности. Обнаружение на основе аномалий ищет аномальную активность по сравнению с обычными событиями, происходящими в системе или сети, и особенно полезна для выявления неизвестных угроз. Анализ протокола с отслеживанием состояния ищет действия, которые противоречат тому, как обычно используется определенный протокол.